Dalış Özeti:
- Microsoft Tehdit İstihbaratına göre, Çin bağlantılı bir tehdit aktörü, Eylül ayından bu yana saldırılar başlatmak için Atlassian Confluence’daki kritik bir bozuk erişim kontrolü güvenlik açığından yararlanıyor.
- Şirket, Atlassian Confluence Veri Merkezi ve Sunucusunu kullanan bir avuç müşterinin, güvenlik açığının şu şekilde listelendiği saldırıları doğruladığını söyledi: CVE-2023-22515sahip olmak Yetkisiz aktörlerin yönetici hesapları oluşturmasına izin verildi ve Confluence örneklerine erişim kazanın.
- Microsoft araştırmacıları devlet bağlantılı aktörü gözlemlediStorm-0062 olarak tanımladığı 14 Eylül’den bu yana kritik güvenlik açığından yararlanıyor.
Dalış Bilgisi:
Microsoft, güvenlik açığı bulunan Confluence uygulamalarını kullanan kuruluşların derhal sabit bir sürüme yükseltme yapması gerektiği konusunda uyarıyor. Kullanıcıların, yükseltmeleri tamamlayana kadar halka açık internet bağlantısını kesmeleri gerekir.
Kavşak Müşterileri güvenlik açığı konusunda uyardı 4 Ekim’de Microsoft ve diğer uzmanlarla birlikte durumu hafifletmek için çalışıyor.
Atlassian’ın bir sözcüsü, e-posta yoluyla şunları söyledi: “Önceliğimiz müşterilerimizin örneklerinin güvenliğidir ve müşterilerin güvenlik açığına yanıt vermelerine yardımcı olabilecek ek bilgiler elde etmek için Microsoft gibi sektörün önde gelen tehdit istihbaratı ortaklarıyla işbirliği yapıyoruz.”
Imperva’daki araştırmacılar şunları söyledi: en az 350.000 sömürü girişimi görüldü Atlassian bu güvenlik açığıyla ilgili ilk uyarıyı yayınladığından beri. Bu saldırılar esas olarak ABD ve Almanya’daki IP adreslerinden kaynaklanan, ABD’deki bilgi işlem ve finansal hizmet firmalarını hedef aldı.
Rapid7’deki araştırmacılar, müşteri tabanları arasında doğrudan saldırı olduğunu doğrulamadıklarını ancak güvenlik açığının temel nedeninin, bir saldırganın uygulama ayarlarını daha geniş çapta değiştirmesine izin verdiğini doğruladılar.
“BENBaşarılı bir istismara izin verecek ek uç noktalar ve saldırı yolları (Rapid7’nin kullandıklarının ötesinde) olması muhtemeldir.” Stephen Fewer, Rapid7’nin baş güvenlik araştırmacısı. “Ayrıca saldırganların yeni bir yönetici kullanıcı oluşturmakla sınırlı olduğundan da şüpheleniyoruz.”
Microsoft’un Storm-0062 olarak tanımladığı tehdit aktörü, diğer araştırmacılar tarafından DarkShadow veya Oro0lxy olarak takip ediliyor.
Adalet Bakanlığı, 2020 yılında, Guangdong Devlet Güvenlik Departmanı ile çalıştığı iddia edilen bir ikilinin parçası olan Li Xiaoyu adlı hackera karşı suçlamaları duyurdu. İddianameye göre Xiaoyu, Oro0lxy adı altında çevrimiçi faaliyet gösteriyordu.
İddianamede bunların bir parçası olduğu iddia edildi. küresel hackleme kampanyası on yılı aşkın süredir ABD, Japonya ve Avrupa’daki şirketleri hedef alıyordu. Önceki kampanya sırasında bilgisayar korsanları imalat, ilaç, inşaat ve endüstri mühendisliği ve oyun da dahil olmak üzere bir dizi sektöre saldırdı.
Bu iddia edilen kampanyanın bir parçası olarak DOJ, bilgisayar korsanlarının çalınan kaynak kodunu serbest bırakmakla tehdit ederek bir kurbandan zorla kripto para birimi almaya çalıştıklarını iddia etti. Ayrıca Kovid-19 aşılarını geliştiren şirketlerdeki güvenlik açıklarını da araştırdılar.
Microsoft’un bir sözcüsü, şirketin X’te yayınlanan ilk uyarıların ötesinde ekleyecek başka bir şeyi olmadığını söyledi.
FBI yetkilileri yorum yapmaktan kaçındı.